西门子修复可影响电网稳定的漏洞CVE-2023-28489

首页 > 宁静研究 > 宁静通报 > 宁静简讯

西门子修复可影响电网稳定的漏洞CVE-2023-28489

宣布时间 2023-05-09

1、西门子修复可影响电网稳定的漏洞CVE-2023-28489

据媒体5月5日报道，西门子修复了影响Sicam A8000 CP-8031和CP-8050产物的CPCI85固件的远程执行代码漏洞（CVE-2023-28489）。这些产物是远程终端单元(RTU)，攻击者可利用该漏洞完全控制设备，影响电网的稳定，甚至可通过更改要害自动化参数导致停电，还可以利用该漏洞安装后门。补丁在固件版本CPCI85 V05或更高版本中可用，该公司还指出，通过使用防火墙限制对TCP端口80和443上的Web服务器的访问，也可以缓解该漏洞。

https://www.securityweek.com/critical-siemens-rtu-vulnerability-could-allow-hackers-to-destabilize-power-grid/

2、美国NextGen Healthcare约100万用户的信息泄露

据5月8日报道，美国软件和服务公司NextGen Healthcare泄露了约100万人的信息。该公司主要为医疗保健行业开发和销售电子健康记录（EHR）软件和实践管理系统。据悉，泄露事件于4月24日被发现，该公司视察确定攻击者在3月29日至4月14日访问了公司的系统，影响了1049375人。公司透露攻击者使用了似乎是从其它来源或与NextGen无关的攻击事件中窃取的客户端凭据访问数据库，它们重新设置了密码以控制该事件。这是NextGen在今年发生的第二起泄露事件，1月19日，它遭到了BlackCat的勒索攻击。

https://securityaffairs.com/145935/data-breach/nextgen-healthcare-data-breach.html

3、乌克兰CERT-UA发现旨在分发SmokeLoader的钓鱼活动

媒体5月8日称，乌克兰CERT-UA披露了以多语言文件的形式分发恶意软件SmokeLoader的钓鱼活动。攻击者利用被熏染帐户发送以“账单/付款”为主题的邮件，附件为ZIP文档。这个ZIP是一个多语言文件，包罗一个诱饵文档和一个JavaScript文件pax_2023_AB1058..js。JavaScript文件使用PowerShell，下载并运行可执行文件portable.exe，它将启动恶意软件SmokeLoader。对域名注册日期和文件编译日期的分析表明，该活动始于4月份，CERT-UA将该活动归因于UAC-0006。

https://securityaffairs.com/145911/malware/cert-ua-smokeloader-campaign.html

4、研究人员披露Akira在近期的勒索攻击的详细信息

5月7日报道称，研究人员发现了Akira在近期的勒索攻击。Akira于3月份推出，声称已攻击了16家公司，涉及教育、金融、房地产、制造和咨询等各个行业。虽然另一个名为Akira的勒索软件已于2017年宣布，但据信与这些活动并不相关。Akira会运行PowerShell命令删除卷影副本，加密文件并附加扩展名.akira，然后在每个文件夹留下赎金记录akira_readme.txt。其赎金要求从20万美元到数百万美元不等。

https://www.bleepingcomputer.com/news/security/meet-akira-a-new-ransomware-operation-targeting-the-enterprise/

5、FortiGuard发现SideCopy团伙针对印度的攻击活动

5月4日，FortiGuard称其发现了SideCopy团伙利用印度军事研究组织相关主题的攻击活动。攻击者使用与印度国防研究与生长组织(DRDO)有关的ZIP文件来分发恶意软件。Zip文件包罗一个快捷方式文件，它会使用HTAs法式或mshta.exe定向到攻击者的域。在这里，命令行参数指向一个URL，会下载并执行一个恶意文件Pantomime.hta。此外，与以往的活动有所差异，此次的payload似乎是使用工具SILENTTRINITY创建的。

https://www.fortinet.com/blog/threat-research/clean-rooms-nuclear-missiles-and-sidecopy

6、Cleafy宣布drIBAN针对意大利的攻击活动的分析陈诉

5月4日，Cleafy宣布了关于利用新的Web注入工具包DrIBAN的攻击活动的分析陈诉。这些活动的要害组件drIBAN，是一个具有强大ATS引擎的Web注入工具包，攻击者利用它乐成绕过身份验证机制，例如银行和金融机构在登录和支付过程中接纳的MFA和SCA授权阶段。攻击链始于经过认证的邮件（或PEC邮件），附带一个可执行文件，作为sLoad恶意软件的下载法式。sLoad是一种侦察工具，还通过滥用合法的Windows工具（如PowerShell和BITSAdmin）来利用LotL技术。此次活动主要针对意大利金融行业。

https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter1

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究